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(57) Abstract 

The present invention relates to a method for 
checking a data exchange between participants in a call 
established on a communication medium in compliance 
with a protocol. In order to identify the various stages 
in a call process conforming to the protocol and to break 
said protocol once the checking procedure has started, 
the invention suggests that the data exchange be captured 
by means of a protocol monitor (PM) connected to a 
communication medium (CM) and based on the finite 
state automaton principle. The test automaton contains the 
same states and state variables as the protocol automaton 
designed to define the communication protocol, apart 
from the fact that the test automaton is allocated a 
plurality of values within the same range of corresponding 
state variable values in the protocol automaton. The 
transitions in the protocol automaton as observed on the 
communication medium (CM) are simulated for investigation purposes in the test automaton and, by a process of logical elimination, a 
state is shaped in the test automaton which matches the relevant state in the protocol automaton. 
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(57) Zusammenfassuog 



Die Erfindung bezieht sich auf ein Verfahren zum Oberprflfen eines zwischcn Kommumkationspartnem Uber cin Kommunikations- 
medium gemaB einem Kommunikationsprotokoll durchgefUhrten Datenaustausches. Um gemaB dem Kommunikationsprotokoll auftretende 
Kommunikationszustande in ihrem Zeitablauf zu erfasscn und auftretende Verst88e gegen das Kommunikationsprotokoll mit einem be- 
liebigen Beginn der Oberpriifung vomehmen zu konnen, wird erfindungsgemaB der Datenaustausch mittels eines mit dem Kommunika- 
tionsmedium (KM) gekoppelten Protokollmonitors (PM) erfaBt, der einen Priifautomaten enthalt, der nach dem Konzept des erweiterten 
endlichen Automaten definiert ist. Der PrUfautomat enthalt die gleichen Zustande und Zustandsvariablen wie der das Kommunikationspro- 
tokoll definierende Protokollautomat mit der Abweichung, dafi einem wahrend der Zustandsvariablen mehrere Werte aus dem Wertcbereich 
der entsprechenden Zustandsvariablen des Protokollautomaten zugeordnet sind. Auf dem Kommunikationsmedium (KM) beobachtetc Tran- 
sitionen des Protokollautomaten werden spekulativ Transitionen im Priifautomaten nachgebildet und durch jeweils logische Ausscheidung 
der Zustand im Priifautomaten hergestellt, der dem jeweiligen Zustand des Protokollautomaten entspricht. 
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Beschreibung 

Verfahren zum Uberprufen eines gemafi einem Kommunikat ions - 
protokoll durchgef uhrten Datenaustausches 

Es ist bekannt, dafi Kommunikat ionspartner gemafi einem Kommu- 
nikationsprotokoll untereinander einen Datenaustausch vorneh- 
men. Eine Anordnung zur Durchfiihrung eines Datenaustausches 
auf diese Weise ist in der Figur 1 dargestellt. Kommunikat i - 
onspartner A und B kommunizieren miteinander iiber ein Kommu- 
nikationsmedium KM, z. B. eine elektrische Leitung, indem sie 
gemafi einem Kommunikat ionsprotokoll Nachrichten oder Proto- 
kolldateneinheiten (Protocol Data Units, PDUs) austauschen. 
Das Kommunikat ionsprotokoll stellt ein vollstandiges Regel- 
werk fur das geforderte Verhalten jedes Kommunikat ionspart - 
ners A und B dar. Die Kommunikat ionspartner A und B sind In- 
stanzen im Sinne des OSI-Ref erenzmodells , das im einzelnen in 
„ISO. Information Processing Systems - Open Systems Inter- 
connection - Basis Reference Model w International Standard 
ISO/IS 7498,130, 1984 beschrieben ist. 

Der Erfindung liegt die Aufgabe zugrunde, gemafi dem Kommuni- 
kationsprotokoll auftretende Kommunikat ions zustande des einen 
oder des anderen Kommunikationspartners in ihrem Zeitablauf 
zu erfassen und auftretende Verstofie gegen das Kommunikat i- 
onsprotokoll zu ermitteln. 

Zur Losung dieser Aufgabe wird bei einem Verfahren zum Uber- 
prufen eines zwischen Kommunikat ionspartnern iiber ein Kommu- 
nikat ionsmedium gemafi einem Kommunikat ionsprotokoll durchge- 
f uhrten Datenaustausches, das nach dem Konzept eines erwei- 



3NSDOCID: <WO 98l23S2A1_l_> 



WO 98/12852 



PCT/DE97/02178 



2 

terten endlichen Automaten definiert ist, der Datenaustausch 
mittels eines mit dem Kommunikationsmedium gekoppelten Proto- 
kollmonitors erfaSt, der einen Pruf automaten enthalt, der 
ebenfalls nach dem Konzept des erweiterten endlichen Automa- 
ten definiert ist, wobei der Priif automat die gleichen Zu- 
stande und Zustandsvariablen wie der das Kommunikations- 
protokoll definierende Protokollautomat mit der Abweichung 
enthalt, daS beim Pruf automaten einem Wert der Zustands- 
variablen mehrere Werte aus dem Wertebereich der entsprechen- 
den Zustandsvariablen des Protokollautomaten zugeordnet sind, 
und ausgehend von einem Zustand des Pruf automaten, der alle 
Zustande und alle Werte der Zustandsvariablen des Proto- 
kollautomaten umfafit, werden auf im Kommunikationsmedium be- 
obachtete Transitionen des Protokollautomaten spekulativ 
Transit ionen im Pruf automaten nachgebildet und durch jeweils 
logische Ausscheidung der Zustand im Priif automaten herge- 
stellt, der dem jeweiligen Zustand des Protokollautomaten 
entspricht . 

Ein wesentlicher Vorteil des erf indungsgemaSen Verfahrens be- 
steht darin, da£ mit ihm die Uberprufung des Datenaustausches 
mit einem beliebigen Beginn vorgenommen werden kann, also 
ohne Kenntnis des aktuellen Zustandes der Kommunikation, weil 
der Protokollmonitor in der Lage ist f aus den am Kommunikati- 
onsmedium erfaSten Daten auf den Zustand der Kommunikations- 
partner zu schlieSen. 

Haufig erfolgt der Kommunikationsaustausch zwischen Kommuni- 
kationspartnern auf der Basis von Kommunikationsprotokollen, 
die nach dem Konzept mehrerer zusammenwirkender erweiterter 
endlicher Automaten definiert sind. Urn in einem solchen Falle 
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mit vertretbarem Rechenauf wand bzw. in angemessener Zeit Ein- 
blick in den Kommunikat ionszust and zu gewinnen, enthalt bei 
einer Anwendung des erf indungsgemaSen Verfahrens bei einern 
zwischen Kommunikat ionspar t ne rn gemaS einem Kommunikations- 
protokoll durchgefuhrten Datenaustausch, das nach dem Konzept 
mehrerer zusammenwirkender erweiterter endlicher Automaten 
definiert ist, der Protokollmonitor Pruf automaten in einer 
der Anzahl der das Kommunikat ionsprotokoll def inierenden er- 
weiterten endlichen Automaten, und jeder Pruf automat ist 
durch Zustande und Zustandsvariablen entsprechend dem jeweiis 
zugeordneten Automaten des Kommunikat ionsprotokol Is 
definiert . 



Zur weiteren Erlauterung der Erfindung ist in 

Figur 2 ein Blockschaltbild einer Anordnung zur Durchfuhrung 
des erf indungsgemafien Verfahrens, in 

Figur 3 ein Zustandsgraph eines beispielsweisen Protokoll- 
automaten, in 

Figur 4 ein korrekter Protokollablauf mit dem beispielswei - 

sen Protokollautomaten und in 
Figur 5 das Ergebnis der Uberprufung des Datenaustausches 

gemaB dem beispielsweisen Protokollautomaten darge- 

stellt . 

Wie die Fig. 2 erkennen laSt, in der mit der Fig. l uberein- 
stimmende Teile mit den gleichen Bezugszeichen versehen sind f 
ist mit dem Kommunikat ionsmedium M ein Protokollmonitor PM so 
gekoppelt, daS er die uber das Kommunikat ionsmedium KM ausge- 
tauschten Daten zwischen den Kommunikationspartnern A und B 
erfassen kann. Dabei liest der Protokollmonitor PM alle aus- 
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getauschten Nachrichten mit, ohne sie zu verandern oder in 
sonstiger Weise auf die Kommunikation zwischen A und B Ein- 
fluS zu nehmen. Der Protokolimonitor PM erhalt keinerlei wei- 
tere Inf ormationen; er hat insbesondere keinen Zugriff auf 
die mit den Benutzern der Kommunikationspartner A oder B aus- 
getauschten Dienstprimitiven, die in Figur 2 durch Pfeile Pfl 
und Pf2 schematisch gekennzeichnet sind. Naheres zu den 
Dienstprimitiven ist ebenfalls der obengenannten Veroffentli- 
chung zu entnehmen. 

Bevor das erf indungsgemafie Verfahren weiter beschrieben wird, 
erscheint es zweckmaSig, einige Vorbemerkungen zu machen: 

Zur Ermittlung sowohl von Kommunikationszustanden als auch 
von ProtokollverstoSen ist eine Beschreibung des zugrundelie- 
genden Protokolls notwendig, die im Protokolimonitor PM ein- 
gebaut ist. Das geeignete und ubliche Konzept zur Definition 
von Kommunikationsprotokollen ist der erweiterte endliche 
Automat (extended finite state machine, EFSM) , wie er z.B. im 
Buch von D. Hogrefe „Estelle, LOTOS und SDL: Standard-Spezi- 
f ikationssprachen fur verteilte Systeme w , Springer Compass. 
Springer-Verlag , Berlin, Heidelberg, New York etc, 1989 be- 
schrieben ist. Er stellt eine Verallgemeinerung des z. B. in 
„ Proceedings of the 1994 International Symposium on Software 
Testing and Analysis (ISSTA) , ACM SIGSOFT Software Engi- 
neering Notes, Special issue, Seiten 109 bis 124, August 1994 
erklarten endlichen Automaten (finite state machine, FSM ) 
dar . 

In ublichen Protokollstandards erfolgt die Beschreibung eines 
Kommunikationsprotokolls - auf unterschiedlichem Niveau der 
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Formalitat - stets anhand dieses Automatenkonzepts . Daher ba- 
siert die in den Protokollmonitor PM eingebaute Protokoll- 
definition ebenfalls auf einem erweiterten endlichen Automa- 
ten. 

Im folgenden ist mit M ein Protokollautomat bezeichnet, der 
den erweiterten endlichen Automaten darstellt, durch den die 
Regeln fur das am Kommunikationsmedium KM beobachtbare Ver- 
halten des Kommunikationspartners A vorgegeben sind. 

Wie ein gewohnlicher erweiterter endlicher Automat umfaSt 
auch der Protokollautomat M eine Anzahl von Zustanden und Zu- 
standsvariablen, wobei zu jedem Zeitpunkt jede Variable einen 
bestimmten Wert aus ihrem Wertebereich innehat . Anhand eines 
solchen Protokollautomaten M ist das zu uberwachende Kommuni- 
kationsprotokoll def iniert . 

GemaS der Erfindung wird mittels des Protokollmonitors PM ein 
Pruf automat F eingesetzt, der die gleichen Zustande und Zu- 
standsvariablen wie der Protokollautomat M umf a£t . Jeder Zu- 
standsvariablen im Pruf automaten F kann aber zu jedem Zeit- 
punkt eine ganze Auswahl von Werten aus dem Wertebereich der 
korrespondierenden Zustandsvariablen im Protokollautomaten M 
zugewiesen werden. Mathematisch formuliert bildet der Pruf au- 
tomat F einen erweiterten endlichen Automaten mit gleichnami- 
gen Zustandsvariablen wie der Protokollautomat M, deren Wer- 
tebereiche aber gerade die Potenzmengen der entsprechenden 
Wertebereiche aus dem Protokollautomaten M sind. 

Angenommen, im Protokollautomaten M gibt es eine Zustandsva- 
riable „Farbe w , die die Werte „schwarz w und „wei£" annehmen 
kann. Die korrespondierende Zustandsvariable „FarbeMes 
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Pruf automaten F kann dann jede Teilmenge dieses Wertebereichs 
symbol isieren, ihre vier mdglichen Belegungen sind also { }, 
{wei£} , {schwarz} und {schwarz, weiS} . 

Jede Belegung der Zustandsvariablen des Pruf automaten F re- 
prasentiert eine Vielzahl in Betracht zu ziehender Zustande 
fur den Protokollautomaten M. Ein Zustand des Pruf automaten F 
lafit sich also als eine unscharfe Zustandsbeschreibung fur 
den Protokollautomaten M auffassen. Die letzte der vier Mog- 
lichkeiten im Beispiel sagt etwa aus, daS iiber die Belegung 
der Zustandsvariablen „Farbe" des Protokollautomaten M nichts 
bekannt ist. Wenn alle Zustandsvariablen des Pruf automaten F 
der art mit dem gesamten Wertebereich der zugehorigen Zu- 
standsvariablen des Protokollautomaten M belegt sind, bedeu- 
tet dies, daS der gesamte Zustand des Protokollautomaten M 
vollig unbekannt ist. Dies ist die typische Situation zum 
Zeitpunkt des Priif ungsbeginns der Kommunikationsverbindung . 

Die bei der Durchfuhrung des erf indungsgemaSen Verfahrens zu 
verwendenden Zustandsubergange des Priif automaten F, im fol- 
genden Transitionen genannt , ergeben sich unmittelbar aus den 
Transitionen des Protokollautomaten M. Da in der Fachlitera- 
tur bisher keine einheitliche Definition fur erweiterte end- 
liche Automaten existiert, erscheint es zum Verstandnis der 
weiteren Ausfuhrungen angebracht, die Arten und Bestandteilen 
von Transitionen zu definieren, wie sie nachstehend benutzt 
werden . 

Eine Transition soli aus folgenden Angaben bestehen: 
• Zustandsbedingung . 
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Diese ist eine logische Funktion, die in Abhangigkeit 
vom Grundzustand und den Werten der Zustandsvariablen 
des Protokollautomaten M festlegt, ob die Transition in 
einem gegebenen Zustand schalten kann. Fur den Spezial- 
fall eines - nicht erweiterten - endlichen Automaten 
legt die Zustandsbedingung gerade den Ausgangszustand 
einer Transition f est . 

• Spezif ikation der Eingabenachricht • 

Das Schalten einer Transition wird u.U. durch das Ein- 
treffen einer Nachricht vom uberwachten Kommunikations- 
partner ausgelost . Der Typ dieser Nachricht sowie die 
erwarteten Werte von Parametern,. die in diese Nachricht 
hineinkodiert sein konnen, bestimmen das Eingabeverhal - 
ten der Transition. Die Festlegung der erwarteten Nach- 
richtenparameter kann in Abhangigkeit von den Zustands- 
variablen des Protokollautomaten M erfolgen. 
Eine Transition kann aus einem gegebenen Zustand genau 
dann schalten, wenn dieser Zustand die Zustandsbedingung 
erfullt und eine Nachricht eintrifft, die mit der Spezi- 
fikation der Eingabenachricht der Transition konform 
ist. Wenn keine Eingabenachricht zur Transition angege- 
ben ist, entfalit die zweite Halfte der Bedingung. 

• Spezif ikation der Ausgabenachricht . 

Beim Schalten einer Transition wird u.U. eine Ausgabe- 
nachricht erzeugt. Der Typ dieser Nachricht sowie die 
zulassigen Werte von Nachrichtenparametern bestimmen das 
Ausgabeverhalten der Transition. Die Festlegung der zu- 
lassigen Nachrichtenparameter kann in Abhangigkeit von 
den Zustandsvariablen des Protokollautomaten M erfolgen. 
Wenn keine Ausgabenachricht zur Transition angegeben 
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ist, wird beim Schalten der Transition keine Ausgabe er- 
zeugt . 

• Zustandstransf ormation . 

Dies ist eine Funktion, die aus einem Zustand des Proto- 
kollautomaten M und eventuellen Nachrichtenparametern 
der Ein- und Ausgabenachrichten die Folgebelegung aller 
Zustandsvariablen nach dem Schalten der Transition er- 
mittelt. Fur den Spezialfall eines - nicht erweiterten - 
endlichen Automaten gibt die Zustandstransf ormation ge- 
rade den Zielzustand der Transition an. 

• Prioritat . 

Eine numerische Konstante, die zur Auswahl der schalten- 
den Transition im Falle mehrerer schaltf ahiger Transi- 
tionen herangezogen wird. Falls Transit ionen Tl und T2 
gemafi den oben erlauterten Bedingungen schaltfahig sind, 
schliefit Transition Tl die konkurrierende T2 vom nach- 
sten Zustandsubergang aus, wenn und nur wenn folgende 
beiden Bedingungen erfiillt sind: 

Tl hat eine hohere Prioritat als T2 . 

Tl erwartet keine Eingabenachricht , oder T2 erwar- 

tet eine Eingabenachricht . 

Die zweite Bedingung verhindert, dafi Eingabetransitionen 
Transitionen ohne Eingabe ausschlieSen . Damit wird mo- 
delliert, dafi ein Protokollautomat „im Einsatz" andere 
Akt ionen ausfuhren kann, bevor die nachste Eingabenach- 
richt tatsachlich eintrifft. 

Wenn trotz dieser Prioritat sregel mehrere schaltf ahige 
Transitionen ubrigbleiben, erfolgt die Auswahl zwischen 
ihnen nichtdeterministisch . 
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Bei der Durchfuhrung des erf indungsgemafien Verfahrens ver- 
folgt der Protokollmonitor PM den internen Zustand der beob- 
achieten Instanz bzw beispielsweise des Kommunikationspart - 
ners A, und zwar mit Hilfe unscharfer Zustandsbeschreibungen 
seitens des Pruf automaten F, wie sie oben erlautert worden 
sind. Bei Pruf ungsbeginn wird in der geschilderten Art und 
Weise vora Pruf automaten F im Protokollmonitor PM ein voll- 
standig unbekannter Zustand des Protokollautomaten M beim 
Kommunikationspartner A dargestellt. 

Der Protokollmonitor PM wendet nun die fur den Protokollauto 
maten M definierten Transitionen auf seinen Pruf automaten F 
an. Gegenuber dem oben definierten Begriff der Schaltf ahig- 
keit fur die Transitionen im Protokollautomaten M ergeben 
sich zwei Anderungen: 

1. Die Ausgaben des beispielsweise uberwachten Protokollau 
tomaten A sind aus der Beobachtung bekannt . Zur Frage 
der Schaltf ahigkeit kommt daher noch der Aspekt der 
Schaltkonsistenz : Eine in einem Zustand des Protokollau 
tomaten M schaltfahige Transition ist konsistent schalt 
fahig, wenn und nur wenn eine ggf . zu ihr gehorende Aus 
gabespezif ikation mit der nachsten anstehenden Ausgabe- 
nachricht in der beobachteten Kommunikation vertraglich 
ist . 

2. Da jeder Zustand des Pruf automaten F im allgemeinen ein 
Anzahl von Zustanden des Protokollautomaten M reprasen- 
tiert, laSt sich die Frage nach der Schaltkonsistenz 
einer Transition fur einen Zustand des Pruf automaten F 
nicht mehr stets eindeutig mit „ja" oder „nein" beant- 
worten. 
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Wenn eine Transition T fur mindestens eine der von einem Zu- 
stand des Pruf automaten F reprasentierten Belegungen der Zu- 
standsvariablen des Protokollautomaten M konsistent schalt- 
fahig ist, so ist das Schalten der Transition T eine potenti- 
ell korrekte tatsachliche Verhaltensweise des Kommunikations- 
partners A zu diesem Zeitpunkt. Der Protokollmonitor PM fuhrt 
die Transition T in diesem Falle spekulativ aus. Dazu wird 
der Zustand des Pruf automaten F zunachst so eingeschrankt , 
dafi er die kleinstmogliche Obermenge aller Zustande des Pro- 
tokollautomaten M reprasentiert , fur die die Transition T 
konsistent schaltfahig ist. Denn wenn die Transition T proto- 
kollkorrekt schaltet, dann hochstens aus einem Zustand dieser 
kleineren Zustandsmenge des Protokollautomaten M. Anschlie- 
Send wird die Zustandstransf ormat ion der Transition T auf den 
reduzierten Zustand des Pruf automaten F angewandt . Wenn dabei 
Konstante oder beobachtete Nachrichtenparameter in Zuweisun- 
gen an Zustandsvariable vorkommen, ergibt sich u.U. eine wei- 
tere Einschrankung des Zustands des Pruf automaten F im Hin- 
blick auf die Anzahl der reprasentierten Zustande des Proto- 
kollautomaten M. 

Da£ hier von der kleinstmoglichen Obermenge die Rede ist und 
nicht von der exakten Menge der Zustande des Protokollautoma- 
ten M mit Schaltkonsistenz der Transition T, liegt daran, daS 
die Zustandsvariablen im Pruf automaten F unabhangig voneinan- 
der Teilmengen der Wertebereiche der einzelnen Zustandsvaria- 
blen des Protokollautomaten M angeben. Damit sind nicht alle 
Teilmengen des Zustandsraums des Protokollautomaten M repra- 
sentierbar . 
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Da die Ausfuhrung einer Transition nur spekulativ erfolgen 
kann, muiS der Protokollmonitor PM, von einem Zustand des 
Pruf automaten F ausgehend, alle fur mindestens einen Zustand 
des Protokollautomaten M konsistent schaltf ahigen Transitio- 
nen so behandeln. Jede spekulative Transit ionsausf uhrung re- 
sultiert in einem eigenen neuen Zustand des Pruf automaten F, 
der jedoch im allgemeinen starker eingeschrankt ist als der 
Ausgangszustand . 

Damit die Anzahl der zu berucksichtigen Zustande des Prufau- 
tomaten F nicht unbegrenzt zunimmt, sind noch folgende Regeln 
zu befolgen: 

• Wenn ein neu erzeugter Zustand des Pruf automaten F eine 
(echte oder unechte) Teilmenge durch einen anderen Zu- 
stand des Pruf automaten F erfaSten Zustande des Proto- 
kollautomaten M reprasentiert und bisher dieselben Nach- 
richten verarbeitet hat wie dieser, so wird der neu er- 
zeugte Zustand des Pruf automaten F verworfen. 

• Wenn ein neu erzeugter Zustand des Pruf automaten F eine 
echte Obermenge der durch einen anderen Zustand des 
Pruf automaten F erfaSten Zustande des Protokollautomaten 
M reprasentiert und bisher dieselben Nachrichten verar- 
beitet hat wie dieser, so wird der andere Zustand des 
Pruf automaten F verworfen. 

Das beschriebene Verfahren konvergiert anhand der beobachte- 
ten Nachrichten mittels spekulativer Transitionsausf uhrungen 
und f ortgesetzter Einschrankung unscharfer Zustandsbeschrei- 
bungen zu einer scharfen Zustandsbeschreibung, namlich einem 
Zustand des Pruf automaten F , der nur noch einen einzelnen Zu- 
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stand des Protollautomaten M reprasentiert . Damit ist die Er- 
fassung des Kommunikationszustandes im wesentlichen abge- 
schlossen. 

Eine Erkennung von Fehlern bzw. von VerstoSen gegen das Kom- 
munikationsprotokoll ergibt sich dabei als Nebenprodukt : 
Sobald von keinem Zustand des Priif automaten F aus mehr 
irgendeine Transition in Ubereinstimmung mit dem beobachteten 
Nachrichtenstrom schalten kann, liegt ein ProtokollverstoS 
seitens des Kommunikationspartners A vor. Derm der Protokoll- 
monitor PM hat alle protokollkonf ormen Verhaltensweisen des 
Kommunikationspartners A bis zu diesem Zeitpunkt in Betracht 
gezogen, das jetzige Verhalten la£t sich aber in keiner Weise 
mehr mit den Regeln des Protokolls erklaren. 

Die Reduktion bis zur kleinsten darstellbaren Obermenge der 
schaltf ahigen Zustande gemaS den obigen Ausfuhrungen garan- 
tiert, daS niemals ein potentiell fur ein korrektes Folgever- 
halten verantwortlicher Zustand des Protokollautomaten M un- 
beriicksichtigt bleibt . Damit ist - trotz der unvollstandigen 
Reprasentierbarkeit - sichergestellt , daS alle vorn Protokoll- 
monitor PM erkannten Fehler stets tatsachlichen Protokollver- 
stoSen seitens des Kommunikationspartners A entsprechen . 

Die unvollstandige Reprasentierbarkeit unscharfer Zustandsbe- 
schreibungen fuhrt aber dazu, daS einzelne ProtokollverstoiSe 
seitens des Kommunikationspartners A theoretisch ubersehen 
werden konnten, solange noch Zustande des Priif automaten F 
vorkommen, die Zustande des Protokollautomaten M reprasentie- 
ren. Nach dieser - bei dem erf indungsgemafien Verfahren - sehr 
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kurzen Synchronisationsphase wird jeder ProtokollverstoS mit 
Sicherheit erkannt . 

Anhand eines einfachen Beispiels soil das erf indungsgemaSe 
Verfahren nachfolgend anschaulich erklart werden . Dazu sind 
zunachst als Beispiel ein Kommunikationsprotokoll zu definie 
ren und ein zugehoriger Kommunikationsablauf anzugeben. 

Das verwendete Beispiel ist nicht praxisrelevant . Es wird im 
folgenden als INI-Protokoll bezeichnet (fur Initiative) . 
Es handelt sich um ein symrnetrisches Protokoll mit einem ein 
zigen Nachrichtentyp pro Senderichtung (DATA-IN, DAT A_OUT ) . 
Diese Nachrichten konnen sowohl aus eigener Initiative ge- 
sendet werden als auch die Bestatigung fur eine zuvor empfan 
gene Nachricht ausdrucken. Zur Unterscheidung dieser Bedeu- 
tungen enthalt jede Nachricht den einzigen Parameter Flag , 
der nur die Werte 0 und 1 annehmen kann. Es wird eine 
sichere, zuverlassige und sequenzerhaltende Ubertragungs- 
strecke vorausgesetzt . In Fig. 3 ist der Zustandsgraph des 
angenommenen INI -Protokollautomaten dargestellt. Neben den 
uber die Knoten des Zustandsgraphen dargestellten Grund- 
zustanden existieren die Zustandsvariablen seen, sent, ini . 
Die Transitionen sind mit Namen und ihren Prioritaten (0, 1) 
bezeichnet. Zustandsbedingungen, die zusatzlich zum entspre- 
chenden Grundzustand gelten mussen, sind mit ,<§' gekennzeich 
net. bzw. leiten Spezif ikationen von Ein- bzw. Ausga 

benachrichten mit einer Vorschrift fur den Flag -Parameter 
ein . 

Die drei Grundzustande des INI -Protokollautomaten haben fol- 
gende Bedeutungen: 
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• Wait. Es stehen keine Bestatigungen aus . Jeder der Part- 
ner darf eine Nachrichtenubertragung initiieren . 

• Talk. Diese Instanz hat eine Nachricht gesendet und war- 
tet auf die Bestatigung. 

• Listen. Diese Instanz hat eine auf Initiative des Part- 
ners gesendete Nachricht empfangen und mu£ noch besta- 
tigen. 

Fig. 4 stellt einen korrekten Protokollablauf exemplarisch 
dar. Die vom Kommunikationspartner A in diesem Beispiel 
durchlauf enen Transitionen sind mit Kvirzeln am linken 
Diagrammrand angegeben, die Nachrichten tragen die Typ- 
bezeichnung und den Wert des Flag- Parameters . 

Das Ablauf beispiel illustriert f olgende Regeln : 

• Im „normalen" Ablauf wird jede Nachricht durch eine Ant- 
wort mit demselben Flag-Parameter bestatigt , wobei sich 
Zyklen mit 0 und 1 als Parameter abwechseln. 

• Beim Wechsel der Sendeinitiat ive verwendet der neue In- 
itiator bzw. der andere Kommunikationspartner jedoch 
den Parameterwert des letzten Zyklus noch einmal, urn 
seine Nachricht von der nachsten eventuell falligen Be- 
statigung zu unterscheiden. 

• Wenn eine Seite bzw. ein Kommunikationspartner einen In- 
itiativewechsel versucht und sich ihre dies anzeigende 
Nachricht mit einer „ regularen" Nachricht der Gegenseite 
bzw . des anderen Kommunikationspartners kreuzt , liegt 
eine Kollision vor. Diese wird aufgelost, indem die 
Nachricht mit Flag = 0 normal bestatigt und die mit 
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Flag = I verworfen wire, als ware sie nicht gesendet 
worden . 

Zur weiteren Demonstration dieses beispielhaf ten Verfahrens 
wird der in nachstehender Tabelle dargestellte Kommunikati- 
onsablauf zwischen den Kommunikationspartnerrn A und B ver- 
wendet . 





Eizigabe 




Ausgabe 


Nr. 


Nachricht 


Nr. 


Nachricht 




DATA_IN ( 0 ; 










2 


DATA-OUT ( 0 ; 






3 


DATA_OUT { 0 } 


4 


DAT A_ IN (0) 










5 


DATA_OUT ( 0 } 


6 


DATA-IN (0) 










7 


DATA-OUT ( 0 ) 






8 


DATA_OUT { 1 . 


S 


DATA_IN(1) 







Der initial votn Protokollmonitor PM anzunehmende - nachfol- 
gend mit (l) bezeichnete - Zustand des Prufaucomaten F im 
Hinblick auf den Protokollautomaten M des Kommunikationspart- 
ners A gibt alle Grundzustande dieses Protokoll automat. en und 
die vollstandigen Wertebereiche fur die Zustandsvariabien an: 
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(Wait ; Talk; Listen} 



seen e {0;l} 
sent e {0;l} 
ini e {T;F} 



(1) 



Hinsichtlich diese Zustandes ist nun zu pruf en, welche Tran- 
sitionen spekulativ auf den Zustand (1) des Pruf automaten an- 
zuwenden sind. Die nachsten anstehenden Nachrichten sind die 
Nachrichten 1 (Eingabe) und 2 (Ausgabe) . 

Da hoher priorisierte Transitionen Vorrang vor niedriger 
priorisierten haben, werden die Transitionen mit der hochsten 
Prioritat zuerst betrachtet. Dies sind CollisionO und 
Collisionl . 

Wenn CollisionO korrekt beim Kommunikationspartner A 
schaltet, dann mu£ sich A zuvor im Zustand Wait befinden, und 
die Zustandsbedingung sent=OAseen=l muS gelten (vgl.Fig.3). 
Entsprechend wird der Zustand (1) des Priif automaten F erst 
gemaS den Voraussetzungen fur CollisionO eingeschrankt und 
anschliefiend die Zustandstransf ormation von CollisionO mit 
der Zuweisung ini=T auf diesen reduzierten potentiellen 
Ausgangs zustand angewandt . Es ergeben sich zwei neue Zustande 

(2) und (3) des Pruf automaten , wie die nachstehenden 

Darstellungen erkennen lassen. 



{Wait} 



{Talk} 



seen € {l} 
sent e {0} 
ini e {T;F} 



CollisionO 



seen e {l} 
sent e {0} 
ini e {T} 
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(2) 



Analog wird fur Collisionl verfahren: 



{Wait} 



{Listen} 



seen e {0} 
sent e {l} 
ini e { T ; F } 



Collisionl 



seen € 



sent e 



mi e 



{0} 

{1} 
{F} 



(3) 



Da beide neuen Zustande (2) und (3) des Pruf automaten F aber 
in bezug auf die verarbeiteten Nachrichten dem Zustand (1) 
entsprechen und echte Teilmengen der - vom Zustand (1) er- 
faSten - Zustande des Protokollautomaten M reprasentieren, 
werden sie verworfen. Alle korrekten Folge-Verhaltensweisen 
des Kommunikationspartners A gehen auch direkt vom Zustand 
(1) aus . 

Wenn eine niedriger priorisierte Transition als CollisionO 
und Collisionl vom Zustand (1) aus korrekt schaltet, dann ist 
das nur moglich, sofern CollisionO und Collisionl im 
tatsachlichen Zustand des Protokollautomaten des 
Kommunikationpartners A nicht schaltfahig sind - dies folgt 
aus der Prioritatsregelung . Also kann der Zustand (1) als 
Ausgangszustand fur die folgenden Betrachtungen prinzipiell 
urn die Zustande des Protokollautomaten M mit CollisionO - 
oder Collisionl -Schaltf ahigkeit reduziert werden. Die 
Reduktionsbedingung dafur lautet (mit St als Bezeichnung fur 
den Grundzustand des Automaten) : 

(St * Wait V sent * 0V seen * l)A(St * Wait V sent * l V seen 
* 0) 
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In diesem Fall kann aufgrund der unvollstandigen Reprasen- 
tierbarkeit keine Reduktion des Zustandes (1) durchgef uhrt 
werden, da kein Wert irgendeiner Zustandsvariablen durch die 
Bedingung vollig ausgeschlossen wird. 



Es folgen die drei Eingabetransitionen . Unter Berucksichti- 
gung der Nachricht DATA_IN{0) ergibt sich fur Receive die Be- 
dingung ini = F a l - seen = 0, der spekulative Schaltvorgang 
lautet : 



{Wai 


t} 


seen e 


{i} 


sent e 


{0;1} 


ini e 


{F} 



Receive 



+ DATA IN(0) 



{Listen} 



seen e 
sent e 
ini e 



{0} 

{0;1} 

{F} 



(4) 



Fiir Receivelst erfolgt die Reduktion des Zustandes (1) 
dagegen gemafi ini = T a sent = 0 : 



{Wai 


t} 


seen e 


|0;1} 


sent e 


{0} 


ini € 


{T} 



Receivelst 



+ DATA IN(0) 



{Listen} 

seen e {0} 
sent e {0} 
ini e {f} 



(5) 



Da die obigen neuen Zustande (4) und (5) des Pruf automat en F 
dieselben Nachrichten verarbeitet haben und der Zustand (5) 
eine Teilmenge der Zustande des Protokollautomaten M des Zu- 



BNSDOCID: <WO 9812852A1J_> 



WO 98/12852 



PCT/DE97/02178 



19 

sta ndes (4) represent iert , wird der Zustand (5) sogleich wie« 
der verworfen. 

Ohne besondere Annahmen, abgesehen vom Grundzustand Talk , 
kann GetAcknowledge schalten: 




GetAcknowledge 



+ DATA IN(O) 



{Wait} 



seen e 
sent € 
ini e 



{0} 

{0;l} 

{T} 



(6) 



Nun ist eine sehr wichtige Besonderheit zu beachten: Im Nach- 
richtenstrom gemafi obiger Tabelle ist zwar als unmittelbar 
nachste Nachricht, hier Nachricht 1, eine Eingabe vermerkt . 
Trotzdem kann die nachste Ausgabenachricht, hier Nachricht 2, 
durchaus von einem Schaltvorgang erzeugt worden sein, bevor 
Nachricht 1 eintraf . Dies liegt einerseits an der Nachrich- 
tenlaufzeit zwischen dem Kommunikationspartner A und dem 
Protokollmonitor PM, andererseits an moglichen Verzogerungen, 
die durch Nachrichtenpuffer und die Verarbeitung der Nach- 
richt in tieferen Protokollschichten auf der Seite des Kommu- 
nikationspartners auftreten konnen. Folglich mu£ der Proto- 
kollmonitor PM die nachste Ausgabenachricht immer auch dann 
betrachten, wenn sie eine gewisse Zeitspanne nach einer an- 
stehenden Eingabenachricht in der beobachteten Kommunikation 
auftritt. Die konkrete Vorausschauzeit ist im Einzelfall 
protokoll- und architekturabhangig festzulegen. 
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Daher werden nun die beiden Ausgabetransitionen in bezug auf 
Nachricht 2, DATA-OUT (0), untersucht. Fur Transmit ergibt 
sich als Bedingung (ini = TaI - sent = 0)V(ini = Fai seen = 
0) was aufgrund der Unbestimmtheit von ini im Zustand (l) 
jedoch keine Reduktion erlaubt : 




Transmit 



-DATA OUT(0) 



{Talk} 



seen e 
sent e 
ini e 



{0;!} 

{0} 

{T} 



(7) 



Answer erfordert seen=0 , liefert also eine Einschrankung : 



{Listen} 



seen e {l} 
sent e {0;l} 
ini e {T;F} 



Answer 



-DATA OUT(0) 



{Wait} 



seen e {o} 
sent e { o } 
ini <= {f} 



(8) 



Damit sind alle Moglichkeiten fur den Zustand (l) des Prufau- 
tomaten F behandelt . Alle Transitionen waren schaltfahig, was 
angesichts der Tatsache, daS iiber den tatsachlichen Ausgangs- 
zustand keine Information vorlag, nicht uberraschen kann. Die 
weiterhin zu betrachtenden Zustande des Pruf automaten F 
sind(4) , (6) , (7) , (8) . 



Fur Zustand (4) ist Nachricht 1 erledigt, und es steht nur 
die Ausgabenachricht 2, DATAJDUT (0), zur Verarbeitung an; 
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denn nach ihr auf gezeichnete Eingabenachrichten konnen den 
Kommunikationspartner A nicht friiher erreicht haben als den 
Protokollmonitor PM. Aus dem Grundzustand Listen kann nur die 
Transition Answer schalten, mit der Reduktionsbedingung 
seen=0, die fur alle Zustande des Protokollautomaten M 
bezuglich des Zustandes (4) erf till t ist: 



{Listen} 

seen e { 0 } 
sent € { 0 ; 1 } 
ini e {f} 



Answer 
-DATA OUT(O) 



{Wai 




seen e 


{0} 


sent e 


{0} 


ini e 


{F} 



Dieser neue Zustand (9) des Priif automaten F ist der einzige 
Folge-Zustand des Zustandes (4) und ersetzt diesen in der Zu- 
standsliste (6), (7), (8) und (9). 



Zustand (6) hat ebenfalls die l.Nachricht empfangen und muE 
als nachstes die Ausgabenachrich 2 verarbeiten. Vom Grundzu- 
stand Wait gibt es fiinf Transitionen . Wieder gilt: Behandiung 
mit absteigender Prioritat. 



CollisionO kommt wegen der Bedingung seen=l auf keinen Fall 
in Frage. Collisionl erfordert sent= 1 a seen = 0 , was eine 
erfolgreiche Reduktion des Zustandes (6) liefert: 



{Wait} 



seen e 
sent e 
ini e 



{0} 

{1} 

{T} 



Collisionl 



{List 


en} 


seen € 


{0} 


sent e 


{1} 


ini e 


{F} 
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(10) 

Der neue Zustand (10) reprasentiert aber eine Teilmenge zu 
Zustand (4) bei gleichem Kommunikationsf ortschritt und wird 
daher verworfen. Fur die rest lichen, niedriger priorisierten 
Transit ionen wird der Zustand (6) auf die Zustande des Proto- 
kollautomaten M reduziert, in denen Collisionl nicht schalten 
mufi. Die Reduktionsbedingung lautet sent * 1 v seen * 0, was 
wegen der Unerf iillbarkeit des zweiten Terms tatsachlich eine 
Einschrankung des Zustandes (6) ergibt : 

{Wait} 

seen e {o} 
sent e {0} 
ini e {t} 

(11) 

Als einzige Transition ohne Eingabenachricht bleibt Transmit:. 
Ihre von DATAJDUT (0) bedingte Forderung 1 - sent = 0 erfullt 
dieser neue Zustand (11) aber nicht. 

Jetzt sind noch die Zustande (7) , (8) und (9) iibrig . 

Fur den Zustand (7) ist bisher nur die 2.Nachricht verwendet 
worden, als nachste stehen prinzipiell die Nachrichten 1 und 
3, DATA_IN(0) bzw. DATA_OUT(0) , an. Hier soil angenommen 
werden, daS Nachricht 3 so spat auf gezeichnet wurde, daS sie 
nicht vor dem Eintreffen von Nachricht 1 entstanden sein 
kann. Es ist also nur Nachricht 1 zu betrachten. 

Einzige Transition von Talk aus ist GetAcknowledge , die keine 
Bedingungen stellt : 
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{Talk} 



{Wait} 



seen e {0;l} 
sent e {0} 
ini e {T} 



Ge t Acknowl edge 



+ DATA IN(O) 



seen e {0} 
sent e {0} 
ini € {T} 



(12) 



Mit diesem neuen Zustand (12) resultiert die Zustandsliste 
isc (8) , (9) und (12) . Erstmalig treten hier nur noch scharfe 
Zustandsbeschreibungen auf, d. h. nur ein Zustand des Pro- 
tollautomaten M pro Zustand des Pruf automaten F. Daher wird 
ab jetzt jeder Verhaltensf ehler des Kommunikationspartners A 
mit Sicherheit erkannt . Aus demselben Grund gibt es jetzt 
keine eigentlichen Einschrankungen von Zustandsbeschreibungen 
mehr, sondern nur noch erfullte oder nicht erfullte Bedingun- 
gen . 

Im Zustand (8) liegt der gleiche Kommunikationsf ortschritt 
vor wieZustand (7)-, es steht also nur Nachricht 1 an, ein 
DATA-IN ( 0 ) . 

Weil hier seen=sent=0 gilt, sind CollisionO und Collisionl 
nicht schaltfahig. Receivelst erfordert ini=T und entfallt 
ebenfalls. Receive scheitert am vorliegenden Flag -Parameter, 
der zur Bedingung 1-seen = 0 f uhrt . Die restlichen 
Transitionen erzeugen Ausgaben, die - nach Voraussetzung uber 
die Vorausschau-Reichweite - mit dem Nachrichtenstrom 
inkons i s t ent s ind . 

Somit kommen nur noch die Zustande (9) und (12) vor. 
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Fur Zustand (9) ist nur Ausgabenachricht 3 zu betrachten, die 
Nachrichten 1 und 2 sind bereits verarbeitet . Der Ausgangs- 
Grundzustand ist Wait . Wegen der Gleichheit von seen und 
sent bleibt nur die Transition Transmit mit der - erfiillten - 

Bedingung seen=0 : 




Transmit 



-DATA OUT(O) 



{Talk} 



seen e 
sent e 
ini e 



{0} 
{0} 
{T} 



(13) 



Die neue Zustandsliste umfafit die Zustande (12) und (13) des 
Pruf automaten F. 



Der Kommunikationsfortschritt zum Zustand (12) entspricht dem 
beziiglich des Zustandes (9); nach Beriicksichtigung der Nach- 
richten 1 und 2 stent nur ein DATA OUT(o: 



an. 



Die Kollisionstransitionen entfallen zustandsbedingt und die 
Eingabetransitionen wegen des Kommunikationsf ortschritts 
Transmit fordert 1-sent = 0 nicht erf ullt . 

Damit steht der scharfe Zustand (13) als einzige noch in Be- 
tracht kommende Zustandsbeschreibung fur den Kommunikations- 
partner fest. Der Protokollmonitor PM ist nun vollstandig 
synchronisiert . 

Im Zustand (13) des Pruf automaten F sind die Nachrichten 1 
bis 3 verarbeitet, es stehen die Nachrichten DATA IN{0) 
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(Nr. 4) und DATA_OUT(l) (Nr. 5) zur Behandlung an. Von Talk 

kann nur Get Acknowledge schalten, wobei keine weitere 
Bedingung zu erfiillen ist : 



{Talk} 

seen e {0} 
sent e {0} 
ini e {T} 

(14) 



{Wait} 



Ge t Ac knowl e dge 
+ DATA IN(O) 



seen e {o} 
sent e {0} 
ini e {T} 



Nun sind Nachricht 1 bis Nachricht 4 erledigt, die nachste 
Transition betrachtet nur Nachricht 5, DATA_OUT(0) , weil es 
eine Ausgabe ist. Daher bleibt irn Grundzustand Wait wieder 
nur Transmit ubrig, diesmal lautet die Bedingung 1-sent = 1 
und ist erfullt: 



{Wai 




seen e 


{0} 


sent e 


{0} 


ini € 


{T} 



Transmit 



DATA OUT(l) 



{Talk} 

seen e {0} 
sent e {l} 
ini e {t} 



Jetzt kommen wieder zwei Nachrichten in Frage # namlich 
DATA_IN(0) als die 6. und DATA_OUT(0) als die 7. f urn eine 
Transition mit Talk als Ausgangspunkt zu ermitteln. Wie schon 
beim Zustand (13) schaltet Get Ac knowl edge : 
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{Talk} 

seen e {0} 
sent € {l} 
ini e {T} 



Ge t Acknowl edge 
+ DATA IN(0) 



{Wait} 

seen e {0} 
sent e {1} 
ini e {T} 



(16) 



Als nachste Nachricht kommt nur Ausgabe 7 in Betracht, sie 
lautet DATA_OUT(0) . Vorerst ist aber sent = 1a seen = 0 
erfullt, was von Wait aus aufgrund der Prioritatsregeln das 
sofortige Schalten von Collisionl erzwingt : 



{Wai 


t} 


seen e 


{0} 


sent e 


{1} 


ini e 


{T} 



Collisionl 



{Listen} 



seen e 
sent e 
ini e 



{0} 
{1} 

{F} 



Listen kann nur via Answer verlassen werden. Dank DATA OUT(O) 
resultiert dafiir die Bedingung seen=0 , die der Zustand (17) 
auch erfullt: 



{Listen} 



{Wait} 



seen e {0} 
sent e {1} 
ini e {f} 



Receive 
4- DATA IN(O) 



seen e {0} 
sent € {0} 
ini e {f} 



Die nachste, 8. Nachricht ist mit DATA_0UT(1) auch eine 
Ausgabe und daher wiederum allein zu betrachten. Die 
Kollisionsbedingungen sind diesmal nicht erfullt, also tnuS 
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Transmit schalten. Wegen ini = F liefert die Ausgaberegel von 
Transmit aber seen = 1 und damit einen Widerspruch zum 
letzten vorhandenen Zustand (18) . 

Das INI-Protokoll vermag die beobachtete Kornmunikation an 
dieser Stelle nicht mehr zu erklaren, es wurde ein Protokoll- 
verstofi des Kommunikationspartners A erkannt . Tatsachlich 
hatte A einen Wechsel der Initiative ja mit dem Flag -Wert 
des letzten Zyklus, also 0, anzeigen miissen. 

Es wurde jetzt eine Neusynchronisation beginnen, weil keiner- 
lei Information mehr uber den tatsachlichen Zust-and des Pro- 
tokollautomaten M des kommunikationspartners A vorhanden ist. 
Dazu nimmt der Protollmonitor PM wieder den initialen Zustand 
(1) an, wobei bereits die den Fehler auslosende Nachricht 8 
als Wiederauf setzpunkt innerhalb der Kornmunikation herangezo- 
gen werden kann . Der beispielhaf te Mefivorgang soil an dieser 
Stelle enden. 

Als Ergebnis der Beispielmessung laSt sich der tatsachliche 
Kommunikationsablauf nun problemlos rekonstruieren. Aufgrund 
der Zusammenf assung zweier Zustande (10) und (11) gemaS den 
obigen Darlegungen ist das Resultat am Beginn der Kornmunika- 
tion nicht eindeutig. Figur 5 stellt beide gleichermaSen mog- 
lichen Varianten bis zum Fehlerzeitpunkt dar. 

Das verwendete Beispielprotokoll ist in extremer Weise darauf 
ausgerichtet , daS sich die Bedeutung einzelner Nachrichten 
erst aus dem Kontext erschiieSt. In dieser Hinsicht stellt es 
sogar ho here Anspruche an den Protokollmonitor PM, als das 
bei den meisten realen Kommunikationsprotokollen der Fall 
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ist. Trotzdetn war die Synchronisationsphase nach nur drei 
Nachrichten abgeschlossen . 

Erganzend ist darauf hinzuweisen, daS zahlreiche Protokolle 
insbesondere der OSI-Schicht 3 den Dienst erbringen, mehrere 
virtuelle Verbindungen uber dasselbe Kommunikationsmedium ab- 
zuwickeln. In solchen Fallen werden die verbindungsspezif i- 
schen Protokollprozeduren typischerweise durch einen separa- 
ten Protokollautomaten pro Verbindung modelliert. Dazu kommt 
meist mindestens ein zusatzlicher Automat, der koordinierende 
Aufgaben ubernimmt , z. B. den Abbau aller bestehenden Verbin- 
dungen oder die Aktivierung weiterer Automaten fur neu aufge- 
baute Verbindungen. Der Gesamtzustand einer Instanz wird dann 
durch die Zustande aller aktiven Protokollautomaten gebildet . 

Wenn es n aktive Protokollautomaten pro Kommunikationspartner 
gibt, zu denen der Protokollmonitor jeweils m einzelne Zu- 
stande seines Priif automaten betrachtet, so ist dies gleichbe- 
deutend mit m n Varianten fiir den Gesamtzustand der Instanz. 
Diese Potenzierung der Zustandsvarianten sprengt sehr schnell 
die Grenzen des akzeptablen Rechenauf wands , sofern alle Ge- 
samtzustande betrachtet werden miissen. Urn dennoch in solchen 
Fallen zu akzeptablen Losungen zu gelangen, wird gefordert, 
da£ stets alle Kombinationen der zu alien aktiven Protokoll- 
automaten existierenden Zustande des Pruf automaten als Be- 
schreibungen in Betracht zu ziehender Gesamtzustande der 
Instanz gelten; alle Abhangigkeiten zwischen verschiedenen 
Protokollautomaten werden dabei unterdrtickt . Jeder Priif auto- 
mat uberwacht genau den Teil der Kommunikation, der vom je- 
weils zugeordneten Automaten des Kommunikationsprotokolls 
abgewickelt wird. Dadurch bildet jeder mogliche Zustand eines 
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Protokollautomaten mit jedem moglichen Zustand eines weiteren 
Protokollautomaten eine in Betracht kommende Zu- 
standskombination . Darin kann das MeSverfahren unabhangig auf 
die einzelnen automatenspezif ischen Zustande des Prufautoma- 
ten angewandt werden, von denen es in obiger Notation ledig- 
lich m n gibt. 

In der Tat arbeiten derartige Protokollautomaten in realen 
Protokollen weitgehend unabhangig. Abhangigkeiten konnen je- 
doch bei Verwaltungsauf gaben wie z. B. einem gruppenweisen 
Verbindungsabbau auftreten. Wegen der obigen Forderung muS 
der erf indungsgemafie Protokollmonitor in solchen Sonderfallen 
zu viele Gesamtzustande zulassen, da die Spekulation auf 
einen tatsachlichen Zustand fur einen Protokollautomaten die 
Annahmen fur alle anderen Automaten nicht beeinflussen kann. 
DaE dadurch Fehler ubersehen werden, ist allerdings praktisch 
unwahrscheinlich bzw.aus Auf wandsgriinden hinzunehmen . 

Erganzend ist ferner anzumerken, daS im obigen Beispiel keine 
Zeitbedingungen fur das Antwortverhalten des Komraunikations- 
partners A definiert wurden. Solche Zeitbedingungen konnen 
jedoch innerhalb der beschriebenen Methodik in das Verfahren 
auf genommen werden. Zeitgeber werden als unscharfe Zustands- 
variablen modelliert, die innerhalb der Zustandsbedingungen 
den moglichen oder notigen Zeitbereich fur nachfolgende 
Schaltvorgange angeben . Das „Starten w eines Zeitgebers er- 
folgt durch Zuweisung an die entsprechende Zeitgebervariable 
itn Rahmen der Zustandstransf ormation einer Transition. 
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Patentanspruche 

1. Verfahren zum Uberprufen eines zwischen Kommunikat ions- 
partnern (A, B) uber ein Kommunikationsmedium (KM) gemaS einem 
5 Kommunikationsprotokoll ausgefuhrten Datenaustausches, bei 
dem 

- das Kommunikationsprotokoll durch einen Protokollautomaten 
gema£ dem Konzept eines erweiterten endlichen Automaten de- 
finiert ist, welcher das korrekte Kommunikat ionsverhalten 

0 eines Kommunikat ionspartners (z.B.A) beschreibt, 

- der Datentaustausch mittels eines mit dem Kommunikations- 
medium (KM) gekoppelten Protokollmonitors (PM) erfafit wird, 
der einen Pruf automaten enthalt, welcher ebenfalls nach dem 
Konzept eines erweiterten endlichen Automaten definiert 

5 ist , 

- der Prufautomat die gleichen Zustandsvariablen wie der das 
Kommunikationsprotokoll def inierende Protokollautomat mit 
der Abweichung enthalt, daS jede Zustandsvariable des 
Pruf automaten mit einem Element der Potenzrnenge des Werte- 

0 bereichs der entsprechenden Zustandsvariablen des Proto- 
kollautomaten belegt ist, so daS jede Belegung der Zu- 
standsvariablen des Pruf automaten eine Menge in Betracht zu 
ziehender Zustande fur den Protokollautomaten reprasen- 
tiert , 

25 - ausgehend von einem Zustand des Pruf automaten, der alle 

Werte der Zustandsvariablen des Protokollautomaten umf a£t , 
nacheinander auf jeden der vorhandenen Zustande des Pruf au- 
tomaten spekulativ alle fur mindestens einen der durch den 
jeweiligen Zustand des Pruf automaten beschriebenen Zustande 

3 0 des Protokollautomaten erlaubten Zustandsubergange des 
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Protokollautomaten angewandt werden, die auEerdem mit den 
im erfafiten Datenaustausch vorkommenden Nachrichten ver- 
traglich sind, wobei 

a) der jeweilige Zustand des Priif automaten zunachst gemafi 
der logischen Schaltbedingung des anzuwendenden Zu- 
stand siiberganges und der zugehorigen Nachricht innerhalb 
des erfaSten Datenaustauschs prazisiert wird, 

b) anschliefiend gemaS des Zustandiiberganges des Protokoll- 
automaten ein einzelner Folgezustand des Priif automaten 
gebildet wird, der alle durch besagten Zustandsubergang 
molicherweise entstehenden Zustande des Protokollautoma- 
ten beschreibt, 

c) nach Anwendung aller erlaubten Zustandsubergange der je- 
weilige Zustand nach obigem Merkmal a) des Pruf automaten 
durch alle aus diesem Zustand des Prof automaten gemaS 
obigem Merkmal b) gebildeten Folgezustande ersetzt wird, 

- ein ProtokollverstoS dann gemeldet wird, wenn nach einem 
Verarbeitungsschritt gemaS obigem Merkmal c) die Zustande 
des Priif automaten ausgeschopft sind. 

2. Anwendung des Verfahrens nach Anspruch 1 bei einem 
zwischen Kommunikationspartnern gemaS einem Kommunikations- 
protokoll durchgefiihrten Datenaustausch, das nach dem Konzept 
mehrerer zusammenwirkender erweiterter endlicher Automaten 
definiert ist, bei der 

- der Protokollmonitor Pruf automaten in einer der Anzahl der 
das Kommunikationsprotokoll def inierenden erweiterten end- 
lichen Automaten enthalt und 

- jeder Pruf automat durch Zustandsvariable entsprechend dem 
jeweils zugeordneten Automaten des Kommunikationsprotokolls 
definiert ist. 
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3 . Anwendung nach Anspruch 2 bei mehreren virtuellen Verbin- 
dungen iiber das Kommunikationsmedium, von denen jede durch 
einen separaten Protokollautomaten modelliert ist, 
5 dadurch gekennzeichnet, 

- daS jeder Pruf automat genau den Teil der Kommunikation 
uberwacht, der vom jeweils zugeordneten Automaten des Kom- 
munikationsprotokolls abgewickelt wird. 
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